Administrator, aby spełnić wymogi stawiane przez przepisy RODO w opisanym przypadku, powinien oprzeć przetwarzanie na przesłance legalizującej oraz spełnić obowiązek informacyjny względem osoby, której dane dotyczą. Spełnienie przesłanki legalizującej przetwarzanie polega na poinformowaniu osoby, której dane dotyczą, że rozmowa jest nagrywana, zaś podstawą przetwarzania danych osobowych jest dobrowolna zgoda z art. 6 ust. 1 lit. a lub art. 9 ust. 1 lit. a RODO, wyrażona poprzez kontynuowanie rozmowy. Obowiązek informacyjny powinien zostać przekazany podczas zbierania lub gromadzenia danych po raz pierwszy w określonym celu przetwarzania, stąd też do administratora należy zainicjowanie przekazania tego obowiązku — przynajmniej w wersji tzw. warstwowej (czyli poprzez poinformowanie, gdzie można zapoznać się z klauzulą informacyjną) lub w wersji całościowej, polegającej na odczytaniu wszystkich informacji wymaganych przez art. 13 ust. 1 i 2 RODO.
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 ust. 1 RODO).
Dane osobowe co do zasady dzielą się na dane osobowe zwykłe oraz dane osobowe szczególnej kategorii (wrażliwe).
Art. 6 ust. 1 RODO przewiduje sześć podstaw prawnych przetwarzania danych osobowych (zwykłych), przy czym dla zgodnego z prawem przetwarzania wystarczające jest oparcie go na co najmniej jednej przesłance prawnej.
Art. 9 ust. 2 RODO przewiduje natomiast dziesięć możliwych podstaw prawnych przetwarzania danych osobowych szczególnej kategorii, które zostały wymienione przez prawodawcę w art. 9 ust. 1 RODO. Do danych osobowych szczególnej kategorii należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, dane biometryczne oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Wymieniony w art. 9 ust. 1 RODO katalog ma charakter zamknięty, co oznacza, że tylko dane wskazane w tym przepisie należy uznać za dane osobowe szczególnej kategorii (dane wrażliwe). Pozostałe dane osobowe będą mieściły się w katalogu danych osobowych zwykłych, dla których podstawy prawne przetwarzania zostały uregulowane w art. 6 ust. 1 RODO.
W przypadku przetwarzania danych osobowych w ramach rozmowy telefonicznej oraz nagrywania tych rozmów obowiązkiem administratora jest poinformowanie osoby, że rozmowa jest nagrywana (kontynuacja rozmowy po odtworzeniu komunikatu jest rozumiana jako wyrażenie zgody na nagrywanie, co stanowi przesłankę legalizującą przetwarzanie).
Przykładowy komunikat: „Uprzejmie informujemy, że rozmowa jest nagrywana. Jeśli nie wyrażają Państwo zgody, prosimy o rozłączenie się”.
Ponadto obowiązkiem administratora jest również przekazanie treści obowiązku informacyjnego, o którym mowa w art. 13 RODO, w przypadku gdy dane osobowe są pozyskiwane po raz pierwszy. Klauzula informacyjna może być udostępniona osobie, której dane dotyczą, w formie komunikatu.
„Jeśli chcesz odsłuchać treść obowiązku informacyjnego, wybierz 2” lub „Administratorem Pani/Pana danych osobowych jest … . Jeśli chcesz dowiedzieć się więcej, całą treść obowiązku informacyjnego znajdziesz na stronie www… w zakładce …”.
Komunikat dotyczący klauzuli RODO może być przekazywany „warstwowo”. Oznacza to, że można przekazać jedynie informację o tym, kto jest administratorem danych, oraz wskazać, gdzie dana osoba może zapoznać się z pełną treścią obowiązku informacyjnego.
Powyższe rozwiązanie stosuje się przy połączeniach przychodzących, czyli tych, które inicjuje klient.
W przypadku połączeń wychodzących, tj. tych, które są kierowane od administratora do klienta, osoba wykonująca połączenie powinna w pierwszej kolejności, po przedstawieniu się i wskazaniu, w imieniu kogo dzwoni, poinformować, że rozmowa jest nagrywana, a jej kontynuacja jest równoznaczna z wyrażeniem zgody na nagrywanie. Należy również po tej komunikacji wskazać, gdzie dana osoba może zapoznać się z klauzulą RODO, lub zapytać klienta, czy chce, aby obowiązek informacyjny został mu odczytany podczas rozmowy.
Co do zasady art. 13 ust. 1 RODO w zdaniu pierwszym wskazuje, że informacje „muszą być przekazane podczas pozyskiwania danych”, co oznacza w tym przypadku, że jeśli dana osoba chce odsłuchać obowiązku informacyjnego przed rozpoczęciem rozmowy, to administrator (lub pracownik administratora) musi być przygotowany do odczytania całej treści takiej klauzuli.
Z punktu widzenia administratora, aby spełnić wymogi stawiane przez przepisy RODO w opisanym przypadku, niezbędne jest oparcie przetwarzania na przesłance legalizującej oraz spełnienie obowiązku informacyjnego względem osoby, której dane dotyczą. Spełnienie przesłanki legalizującej przetwarzanie polega na poinformowaniu osoby, której dane dotyczą, o tym, że rozmowa jest nagrywana, zaś podstawą przetwarzania danych osobowych jest dobrowolna zgoda z art. 6 ust. 1 lit. a lub art. 9 ust. 1 lit. a RODO, wyrażona poprzez kontynuowanie rozmowy. Obowiązek informacyjny powinien zostać przekazany podczas zbierania lub gromadzenia danych po raz pierwszy w określonym celu przetwarzania, stąd też do administratora należy zainicjowanie przekazania tego obowiązku — przynajmniej w wersji tzw. warstwowej, czyli poprzez wskazanie, gdzie można zapoznać się z klauzulą informacyjną, lub w wersji całościowej, czyli poprzez odczytanie wszystkich informacji wymaganych przez art. 13 ust. 1 i 2 RODO.
Brak spełnienia powyższych wymogów naraża administratora danych na zarzut naruszenia ochrony danych osobowych osób, których dane dotyczą, w postaci przetwarzania ich danych bez podstawy prawnej oraz nieprzestrzegania przepisów rozporządzenia w zakresie konieczności spełnienia obowiązku informacyjnego.
ODO 24 – optymalny kosztowo outsourcing ochrony danych osobowych – ODO24.pl
